Das ArbG Suhl hat entschieden, dass eine Auskunftserteilung nach Art. 15 DSGVO per unverschlüsselter E-Mail gegen Art. 5 DSGVO verstößt. Ein Anspruch auf Schadensersatz aus Art. 82 DSGVO besteht aber nur bei Nachweis eins konkreten Schadens.
Aus den Entscheidungsgründen: 1. Dem Kläger steht kein Anspruch aus Art. 82 DSGVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.
Die Voraussetzungen für einen Schadensersatzanspruch liegen nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.
Ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail liegt vor. Dies wurde auch vom Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit mit Bescheid vom 03.08.2023 bestätigt. Ob die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung ebenfalls Verstöße gegen Regelungen der DSGVO darstellen, kann vorliegend dahinstehen. Denn der Kläger hat bereits keinen Schaden dargelegt.
Soweit der Kläger der Auffassung ist, bereits ein Verstoß gegen die DSGVO genüge für das Entstehen eines Schadensersatzanspruches, kann dem nicht gefolgt werden.
Es ist zwar zutreffend, dass die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, in Rechtsprechung und Literatur umstritten ist. Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 68, 69, juris).
Auf das Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes entschied jedoch nunmehr unter dem 04.05.2023 der EuGH, dass Art. 82 Abs.1 DSGVO so auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Zur Begründung führt der EuGH in seinem Urteil vom 04.05.2023, C-300/21, wie folgt aus:
„Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung ausreicht, um einen
Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 81, und vom 10. Februar 2022, ShareWood Switzerland, C-595/20, EU:C:2022:86, Rn. 21), die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 15. April 2021, The North of England P & I Association, C-786/19, EU:C:2021:276, Rn. 48, sowie vom 10. Juni 2021, KRONE – Verlag, C-65/20, EU:C:2021:471, Rn. 25).
Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.
Was als Erstes den Wortlaut von Art. 82 DSGVO betrifft, ist darauf hinzuweisen, dass nach Abs. 1 dieses Artikels „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.
Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.
Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider.
Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.
Als Zweites wird die vorstehende Wortauslegung durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfügt.
Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.
Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DSGVO, der speziell den in Art. 82 Abs. 1 dieser Verordnung vorgesehenen Schadenersatzanspruch betrifft, in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DSGVO, dass „[d]ie Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“. Daraus ergibt sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell ist, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen.
Die Wortauslegung von Art. 82 Abs. 1 DSGVO wird auch durch einen Vergleich mit anderen Bestimmungen bestätigt, die ebenfalls in Kapitel VIII der DSGVO enthalten sind, das u. a. die verschiedenen Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person im Fall einer Verarbeitung ihrer personenbezogenen Daten, die gegen die Bestimmungen dieser Verordnung verstoßen soll, geschützt werden können.
Hierzu ist festzustellen, dass die in diesem Kapitel enthaltenen Art. 77 und 78 DSGVO im Fall eines behaupteten Verstoßes gegen diese Verordnung Rechtsbehelfe bei einer bzw. gegen eine Aufsichtsbehörde vorsehen, wobei sie – anders als Art. 82 DSGVO in Bezug auf Schadenersatzklagen – keinen Hinweis darauf enthalten, dass der betroffenen Person ein „Schaden“ entstanden sein müsste, um solche Rechtsbehelfe einlegen zu können. Dieser Unterschied in der Formulierung offenbart die Bedeutung des Kriteriums „Schaden“ und damit seine Eigenständigkeit gegenüber dem Kriterium „Verstoß“ für die Zwecke der auf die DSGVO gestützten Schadenersatzansprüche.
Auch haben die Art. 83 und 84 DSGVO, die die Verhängung von Geldbußen und anderen Sanktionen erlauben, im Wesentlichen einen Strafzweck und hängen nicht vom Vorliegen eines individuellen Schadens ab. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.
Schließlich ist darauf hinzuweisen, dass nach dem vierten Satz des 146. Erwägungsgrundes der DSGVO die Vorschriften der DSGVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gelten.
Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.“
Mit diesen Ausführungen wird nunmehr die Auffassung der Kammer bestätigt, dass für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich ist.
Der Kläger hat einen etwaigen immateriellen Schaden darzulegen und ggf. nachzuweisen.
Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20 -Rn. 73, juris).
Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.
2. Ein Anspruch des Klägers gegen die Beklagte auf Zahlung eines angemessenen Schmerzensgeldes unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts §§ 823 Abs. 1, 253 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG besteht ebenfalls nicht.
Soweit der Kläger eine Entschädigung begehrt und argumentiert, dass alle immateriellen Schäden ersatzfähig seien, welche i.d.R. aus der Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren, kommen die genannten Normen auch als Anspruchsgrundlage in Betracht.
Das allgemeine Persönlichkeitsrecht dient in erster Linie dem Schutz ideeller Interessen, insbesondere dem Schutz des Wert- und Achtungsanspruchs der Persönlichkeit. Dieser Schutz wird dadurch verwirklicht, dass bei einer schweren Persönlichkeitsrechtsverletzung - neben negatorischen Schutzansprüchen und Ansprüchen auf Ersatz des materiellen Schadens - auch Ansprüche in Betracht kommen, die auf den Ausgleich immaterieller Beeinträchtigungen durch Zahlung einer Geldentschädigung gerichtet sind. Bei schwerwiegenden Verletzungen des allgemeinen Persönlichkeitsrechtsrechts besteht daher nach ständiger, mittlerweile gewohnheitsrechtlich anerkannter höchstrichterlicher Rechtsprechung ein Anspruch auf Ausgleich der dadurch verursachten immateriellen Schäden, der unmittelbar aus dem Schutzauftrag der Art. 1 Abs. 1, 2 Abs. 1 GG abgeleitet wird (OLG Düsseldorf, Beschluss vom 16.02.2021 – 16 U 269/20 – Rn. 14 m.w.N., juris).
Ein derartiger Anspruch scheitert vorliegend bereits daran, dass keine schwerwiegende Verletzung des allgemeinen Persönlichkeitsrechts dargetan wurde.
II. Das Verfahren war weder auszusetzen, noch das Ruhen des Verfahrens anzuordnen.
1. Entgegen der Ansicht des Klägers war das Gericht nicht gehalten, das vorliegende Verfahren auszusetzen. Das Verfahren war entscheidungsreif. Eine Aussetzung nach § 148 ZPO kam daher nicht in Betracht. Im Übrigen sind Bescheide des Landesdatenschutzbeauftragen nicht vorgreiflich im Sinne dieser Norm. Zudem ist unklar, ob weitere beim Landesdatenschutzbeauftragten anhängige Beschwerden überhaupt in Zusammenhang mit den hier behaupteten Datenschutzverstößen stehen.
Vielmehr geht die Kammer davon aus, dass mit Bescheid vom 03.08.2023 abschließend über die behaupteten Verstöße (unverschlüsselte E-Mail, Weiterleitung an Betriebsrat und unvollständige Auskunft) entschieden wurde. Entgegen der Darstellung des Klägers mit Beschwerdeformular vom 23.12.2021 sei ein weiterer Verstoß gerügt worden, betrifft diese Beschwerde offensichtlich den bereits dargelegten Verstoß der Auskunft per unverschlüsselter E-Mail.
Unter dem 25.01.2023 (Anlage K 3, Bl. 14 der Akte) erhielt der Kläger vom TLfDI eine Mittelung zur Beschwerde über Datenschutzverletzungen im A. In dem Schreiben wurde dargelegt, dass die Übermittlung mittels unverschlüsselter E-Mail als Verstoß gegen Art. 5 DSGVO zu werten ist. Es wurde auf ein laufendes Anhörungsverfahren hingewiesen und mitgeteilt, dass der Kläger über den Ausgang des Verfahrens informiert wird. Nach dem Antrag des Klägers auf Ergänzungsprüfung vom 30.03.2023 (Anlage K 4, Bl. 16 f. der Akte) und seiner weiteren Beschwerde vom 19.06.2023 (Anlage K5, Bl. 18 f. der Akte) erging am 03.08.2023 ein Bescheid. Mit dem Inhalt dieses Bescheides (Anlage K 6 Bl. 30 f. der Akte) ist davon auszugehen, dass damit abschließend über die Beschwerden des Klägers entschieden wurde. Denn der Bescheid ist überschrieben mit „Ihre Beschwerde über Datenschutzverletzungen im A in Bezug auf ihr Auskunftsersuchen“. Es wird ausgeführt: „das o.g. Verwaltungsverfahren zu Ihrer Beschwerde vom 23. Dezember 2021 ist abgeschlossen.“ Im Absatz vor der Rechtsbehelfsbelehrung wird zudem ausgeführt: „Weitere Maßnahmen sind nicht erforderlich. Auch aus Ihrem Schreiben vom 19. Juni 2023 ergibt sich nichts Anderes, weil wegen der fehlerhaften Auskunftserteilung eine Verwarnung erteilt wurde und Ihnen die begehrten Informationen vorliegen.“
OLG München
Verfügung vom 14.09.2023 14 U 3190/23 e
Das OLG München hat in einer Verfügung im Rahmen eines Berufungsverfahrens ausgeführt, dass kein Schadensersatzanspruch und kein Unterlassungsanspruch in Facebook-Scraping-Fällen besteht, wenn keine fühlbare reale Beeinträchtigung vorliegt bzw. dargelegt und bewiesen wird.
Aus den Verfügungsgründen: Das strukturiert begründete Urteil des Landgerichts leidet nicht an Rechtsfehlern (§ 546 ZPO). Die zugrunde zu legenden Tatsachen (§ 529 ZPO) gebieten keine andere Entscheidung (§ 513 Abs. 1 ZPO).
1. Zutreffend versagt das Landgericht einen Schadensersatzanspruch.
Das Ersturteil arbeitet überzeugend heraus, dass der Beklagten eine schadenskausale Pflichtverletzung, die in den Anwendungsbereich des Art. 82 DSGVO fiele, nicht angelastet werden kann; auf die diesbezüglichen Ausführungen des Landgerichts ist Bezug zu nehmen.
Ihnen ist hier lediglich hinzuzufügen: Insbesondere einen Verstoß gegen Art. 32 durch „zu weite“ Voreinstellungen musste das Landgericht nicht annehmen. Art. 32 DSGVO schreibt nicht schlechthin datenschutzfreundliche Voreinstellungen vor, sondern gebietet – wesentlich allgemeiner gehalten – „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Das ist bei einer Kontaktplattform auch dadurch möglich, dass dem Nutzer durch Anleitungen und Hilfen die Möglichkeit gegeben wird, die Einstellungen enger zu fassen und zudem einen „Privacy-Check“ durchzuführen.
Anderes ergibt sich auch nicht etwa aus Erwägungsgrund 78 zur DSGVO, denn dort werden datenschutzfreundliche Voreinstellungen lediglich als Beispiel für Schutzmaßnahmen genannt, die je nach Sachlage und Zusammenhang empfehlenswert seien.
Er lautet:
„Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen. Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden“.
Das Landgericht durfte hier berücksichtigen, dass Facebook eine Plattform für Nutzer ist, die sich in erster Linie „finden lassen“ wollen, um sogenannte „Freundschaftsanfragen“ zu erhalten, wobei der Begriff „Freundschaft“ hier nicht in dem engen Sinne zu verstehen ist, der die deutsche Sprachtradition prägt. Als „technische und organisatorische Maßnahme“ durfte es das Landgericht in diesem Zusammenhang als ausreichend ansehen, dass die Nutzer hier das Ausmaß der Findbarkeit selbst einstellen konnten, angeleitet durch transparente Hilfen und Erklärungen, die umfangreich, aber verständlich und sinnvoll gegliedert sowie zugänglich waren.
2. Das kann indessen dahinstehen, da im vorliegenden Einzelfall auch kein Schaden im Rechtssinne eingetreten ist.
Das Landgericht hat unter zutreffender Einwertung von Erwägungsgrund 146 herausgearbeitet, dass der Schadensbegriff zwar im Prinzip weit reicht, aber eine fühlbare reale Beeinträchtigung voraussetzt. An dieser fehlt es hier, wie das Landgericht anhand der persönlichen Anhörung des Klägers herausgearbeitet hat. Was die Berufungsbegründung hiergegen erinnert, überzeugt nicht:
(a) Erwägungsgrund 85 besagt nicht, dass jeder Kontrollverlust ein Schaden ist.
Er lautet in seinem Satz 1, den die Berufung hier offensichtlich anzieht:
„Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“.
(b) Dass der Kläger „durch Ärger, Angst, Stress, Sorge“ geplagt sei, hat die Anhörung nicht ergeben, sondern seinen freimütigen Angaben war u.a. zu entnehmen, dass er die Plattform weiter nutzt, was dem Landgericht zeigte, dass der Kläger nicht durchgreifend bekümmert ist. Was er an Zeit und Kraft aufgewendet habe, um sich mit dem Problem auseinanderzusetzen, war nicht in der Weise greifbar geworden, dass ein „erlittener“ Schaden darin gesehen werden musste.
(c) Dass der Kläger seit dem Datenleck Kontaktversuche von unbekannten Dritten in Form von „Spam“-SMS und „Spam“-Anrufen erhalten habe, hat der Kläger dahin relativiert, diese beruhten wahrscheinlich darauf, dass er seine Mobiltelefonnummer bei dem mehrfach erwähnten großen und weltweit tätigen Versandhandelsunternehmen hinterlegt habe. Das Landgericht hatte daher verständlicherweise unüberwindliche Bedenken, die SMS und Anrufe gerade der Beklagten als kausal verursachten Schaden anzulasten.
2. Nicht zu beanstanden ist ferner, dass das Landgericht auch für einen zukünftigen Schaden keine Anhaltspunkte sah.
3. Zutreffend versagt das Landgericht den Unterlassungsanspruch
Die Wiederholungsgefahr besteht bereits deshalb nicht, weil der Kläger die Einstellungen von „alle“ auf „nur ich“ zurücksetzen kann. Das erfordert keine weiteren Maßnahmen der Beklagten, so dass offen bleiben kann, ob diese die Suchbarkeitsfunktion deaktiviert hat und „Anti-Scraping-Maßnahmen“ ins Werk gesetzt hat.
Denn selbst wenn eine Rechtsverletzung vorläge, die – grundsätzlich – Wiederholungsgefahr zu indizieren geeignet wäre, wäre diese Indizwirkung durch obige Fallumstände hier widerlegt.
Nicht verfangen kann der Einwand, wonach es keine Abhilfe bringe, wenn der Kläger seine Einstellungen von „everyone“ auf „friends of friends“ umstellt. Es mag unterstellt werden, dass auch Daten von Nutzern „gescrapt“ worden sind, die – anders als der Kläger – nicht „everyone“ eingestellt hatten. Das ist aber nicht der Schadenshergang, der vorliegend anzunehmen war und an dem die Wiederholungsgefahr zu messen wäre. Dass sich der hier festgestellte Schadenshergang wiederholen würde, kann der Kläger schon durch die geänderten Einstellungen bewirken. Stellt er die Einstellungen von „alle“ auf „nur ich“ zurück, und würden seine Daten dann (erneut) gescrapt, so wäre das ein anderer Schadenshergang.
4. Zutreffend versagt das Landgericht den Auskunftsanspruch.
Anders als in den von der Berufungsbegründung angezogenen Entscheidungen anderer Gerichte (BerBegr S. 65/66) war der Auskunftsanspruch vorliegend erfüllt mit Ausnahme einer Angabe, wer der/die Scraper/in gewesen ist. Letztere Angabe (des „Empfängers“) kann die Beklagte nicht machen, weil sie den Empfänger nicht kennt. Dass sie in früheren Fällen gegen unbefugte Dritte vorgegangen ist, ändert hieran fallbezogen nichts.
5. Nach alledem hat das Landgericht auch Schadensersatzansprüche nach nationalem Recht zutreffend versagt.
Das OLG Hamm hat entschieden, dass ein Schadensersatzanspruch in Facebook-Scraping-Fällen nur dann besteht, wenn ein konkreter Schaden nachgewiesen wird. Der Verstoß gegen die DSGVO und das Gefühl des Kontrollverlustes seitens des Betroffenen genügt nicht allein nicht.
Die Pressemitteilung des Gerichts: Leitentscheidung zu Facebook-Scraping
Das Oberlandesgericht Hamm hat ein erstes Urteil zu den sogenannten Facebook-Scraping-Fällen gesprochen und eine Klage auf Zahlung von Schadensersatz nach der Datenschutz-Grundverordnung (DSGVO) abgewiesen. Nach dem Urteil liegen zwar Verstöße gegen datenschutzrechtliche Vorschriften vor, einen immateriellen Schaden konnte die Klägerin jedoch nicht ausreichend darlegen.
Im April 2021 veröffentlichten Unbekannte die Daten von etwa 500 Millionen Facebook-Nutzern im Darknet, darunter Namen und Telefonnummern. Die Daten hatten die Unbekannten zuvor über einen längeren Zeitraum zunächst unter Ausnutzung der seinerzeitigen Suchfunktionen von Facebook gesammelt, weshalb von „Scraping“ gesprochen wird (von engl. to scrape für zusammenkratzen). Auch dann, wenn die Anzeige der eigenen Telefonnummer bei Facebook nicht aktiviert war, war es über die Suchfunktion möglich, einen Nutzer über eine eingegebene Telefonnummer zu identifizieren. Dies nutzen die unbekannten „Scraper“ aus, indem sie millionenfach Telefonnummern mit dem Computer generierten und hierzu Daten abriefen. Facebook deaktivierte die Suchfunktion für Telefonnummern im April 2018. Auf ein daraufhin angepasstes Scraping-Verfahren, das die Kontaktimportfunktion von Facebook ausnutzte, wurden weitere Daten abgegriffen, bis Facebook auch diese Funktion auf der Plattform im Oktober 2018 und im Facebook-Messenger im September 2019 deaktivierte.
Im Hinblick auf dieses „Datenleck“ sind bundesweit zahlreiche Klagen gegen Meta als Betreiberin der Plattform anhängig, so auch im Bezirk des Oberlandesgerichts Hamm, für den nunmehr die erste Entscheidung vorliegt. Der für das Recht der unerlaubten Handlungen zuständige 7. Zivilsenat klärt darin zahlreiche Rechtsfragen im Zusammenhang mit den Scraping-Klagen.
Auch die Klägerin im nun entschiedenen Verfahren war von dem Scraping betroffen. In dem im Darknet veröffentlichten Datensatz fanden sich ihre Mobiltelefonnummer, ihr Vor- und Nachname sowie die Angabe ihres Geschlechts. Die Klägerin hat von Meta als Betreiberin der Plattform unter anderem eine Entschädigung für immaterielle Schäden ähnlich einem Schmerzensgeld in Höhe von mindestens 1.000 Euro verlangt. Sie hat die Auffassung vertreten, die Betreiberin der Plattform habe sowohl im Zusammenhang mit dem Scraping als auch unabhängig davon gegen verschiedene Vorschriften des Datenschutzes aus der DSGVO verstoßen. Dem ist Meta entgegengetreten.
Das Landgericht Bielefeld hatte die Klage zurückgewiesen. Die von der Klägerin eingelegte Berufung ist nun vor dem Oberlandesgericht Hamm ohne Erfolg geblieben. Zwar hat das Oberlandesgericht Verstöße gegen die DSGVO festgestellt. Von einem immateriellen Schaden der Klägerin konnte es sich jedoch nicht überzeugen.
Zu den festgestellten Verstößen gegen die DSGVO geht das Oberlandesgericht im Ausgangspunkt davon aus, dass es auch im Zivilprozess Aufgabe des für die Datenverarbeitung Verantwortlichen – hier Meta – ist, die zulässige Verarbeitung dieser Daten nach der DSGVO nachzuweisen. Auch die Weitergabe von Daten an Dritte auf eine Suchfunktion oder eine Kontaktimportfunktion ist dabei Datenverarbeitung im Sinne der DSGVO. Meta konnte hier nicht nachweisen, dass die Weitergabe der Mobiltelefonnummer der Klägerin im Rahmen der Such- oder Kontaktimportfunktion nach der DSGVO gerechtfertigt war. Auf die Erfüllung des Vertragszwecks als Rechtfertigungsgrund nach der DSGVO kann sich Meta dabei nicht berufen, da die Verarbeitung der Mobiltelefonnummer für die Vernetzung der Nutzerinnen und Nutzer von Facebook untereinander unter Berücksichtigung des Grundsatzes der Datensparsamkeit nicht zwingend erforderlich ist. Für die Verarbeitung der Mobiltelefonnummer bedarf es daher einer Einwilligung der Nutzerin oder des Nutzers. Eine solche wurde hier schon deswegen nicht wirksam erteilt, weil bei der seinerzeit erteilten Einwilligung der Klägerin in unzulässiger Weise mit von der Nutzerin auf Wunsch abwählbaren Voreinstellungen gearbeitet wurde („opt-out“) und die Informationen über die Such- und Kontaktimportfunktion unzureichend und intransparent waren.
Auch eine grundsätzlich zum Schadensersatz führende Pflichtverletzung hat das Oberlandesgericht bejaht, da Meta trotz der konkreten Kenntnis von dem Datenabgriff im vorliegenden Fall naheliegende Maßnahmen zur Verhinderung weiteren unbefugten Datenabgriffs nicht ergriffen hatte.
Das Oberlandesgericht hat der Klägerin im Ergebnis aber dennoch keinen Schadensersatz zuerkannt. Die Klägerin hat hier lediglich immaterielle Schäden geltend gemacht, was nach der DSGVO grundsätzlich möglich ist und zu einer Entschädigung ähnlich einem Schmerzensgeld führen kann. Allerdings ist es der Klägerin nicht gelungen, einen konkreten immateriellen Schaden darzulegen. Dabei geht das Oberlandesgericht davon aus, dass der immaterielle Schaden nicht in dem bloßen Verstoß gegen die DSGVO selbst liegen kann, sondern darüberhinausgehende persönliche bzw. psychologische Beeinträchtigungen eingetreten sein müssen. Solche hat die Klägerin jedoch nicht individuell dargelegt. Der zu einer Vielzahl an ähnlich gelagerten Verfahren identische, pauschale Vortrag, die „Klägerpartei“ habe Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst entwickelt und Aufwand an Zeit und Mühe gehabt, reicht zur Darlegung einer konkret-individuellen Betroffenheit der Klägerin nicht aus. Auch ist der hier in Rede stehende Datenmissbrauch, der zur ungewollten Veröffentlichung von Name und Mobiltelefonnummer geführt hat, nicht so schwerwiegend, dass der Eintritt eines immateriellen Schadens ohne weiteres naheliegt. Hinzu kommt, dass die Klägerin in ihrer persönlichen Anhörung vor dem Landgericht lediglich ausgeführt hatte, sie habe ein „Gefühl der Erschrockenheit“ erlitten.
Das Oberlandesgericht hat den Streitwert für das gesamte Verfahren – in dem auch erfolglos weitere Anträge auf Feststellung, Unterlassung und Auskunft geltend gemacht worden waren – mit lediglich 3.000 Euro bewertet. Es hat keinen Anlass gesehen, das Verfahren dem Europäischen Gerichtshof zur Vorabentscheidung vorzulegen oder die Revision zuzulassen, da die entscheidenden Rechtsfragen jüngst durch den Europäischen Gerichtshof geklärt wurden.
Oberlandesgericht Hamm, Urteil vom 15. August 2023, Az. 7 U 19/23; Vorinstanz: Landgericht Bielefeld, Urteil vom 19. Dezember 2022, Az. 8 O 157/22.
Die Entscheidung ist veröffentlicht unter www.nrwe.de externer Link, öffnet neues Browserfenster / neuen Browser-Tab.
Bernhard Kuchler
Pressedezernent
Für die Entscheidung relevante Vorschriften der Datenschutz-Grundverordnung (DSGVO)
Art. 4 – Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck: […]
2. "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]
Art. 5 – Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz");
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ("Zweckbindung");
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung"); […]
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht").
Art. 6 – Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; […]
Art. 7 – Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen. […]
Art. 32 – Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]
Art. 82 – Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. […]
Das OLG Frankfurt hat entschieden, dass ein Schadensersatzanspruch aus Art. 82 DSGVO den Nachweis eines konkreten Schadens erfordert. Zudem führt das Gericht aus, dass sich aus Art. 17 DSGVO auch ein Unterlassungsanspruch ergibt.
Aus den Entscheidungsgründen:
Hinsichtlich der Verurteilung im Hinblick auf den Unterlassungsanspruch ist die Berufung der Beklagten hingegen unbegründet.
Dem Kläger steht ein Anspruch gegen die Beklagte auf Unterlassung der Verarbeitung seiner personenbezogenen Daten zu, sofern diese in der Form erfolgt wie mit der Nachricht vom 23.10.2018 an einen Dritten. Dies ergibt sich aus Art. 17 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. 2016 L 119 S. 1, berichtigt in ABl. 2016 L 314 S. 72 und ABl. 2018 L 127 S. 2; im Folgenden: DS-GVO), wie zwischenzeitlich höchstrichterlich geklärt wurde (vgl. BGH, Urteile vom 12.10.2021 - VI ZR 488/19 - VI ZR 489/19 -, jeweils Rn. 10, juris; BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 20, 23 [zur Auslistung]; BSGE 127, 181 Rn. 13), so dass ein Rückgriff auf §§ 823 Abs. 1 i.V.m. 1004 BGB nicht erforderlich ist, um einen lückenlosen Individualrechtsschutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen zu gewährleisten (so noch: OLG Dresden, Urteil vom 14. Dezember 2021 - 4 U 1278/21 -, Rn. 47, juris; OLG München, Urteil vom 19. Januar 2021 - 18 U 7243/19 Pre -, Rn. 62, 65, juris).
Die Voraussetzungen des sich aus Art. 17 Abs. 1 DS-GVO (auch) ergebenden Unterlassungsanspruchs sind erfüllt.
Die DS-GVO ist vorliegend anwendbar, da sie seit dem 25.5.2018 (Art. 99 Abs. 2 DS-GVO) unmittelbar in jedem Mitgliedstaat der Europäischen Union Geltung erlangt hat (BGH, Urteil vom 27. Juli 2020 - VI ZR 405/18 -, BGHZ 226, 285-310, Rn. 110 - 13).
Die Beklagte hat durch die Übermittlung der Nachricht vom 23.10.2018 „personenbezogene Daten" des Klägers im Sinne von Art. Art. 4 Nr. 1 DS-GVO an einen Dritten offenbart. Insoweit sind der Name, das Geschlecht, die Tatsache des laufenden Bewerbungsverfahrens und die Gehaltsvorstellung des Klägers als personenbezogene Daten anzusehen.
Sofern die Beklagte dies hinsichtlich der Anrede „Herr B" verneint, vermag der Senat dem nicht zu folgen, da der Name in der Legaldefinition sogar ausdrücklich erwähnt wird. Art. 4 Nr. 1 DS-GVO benennt beispielhaft Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, der Name wird im Rahmen der alternativen Aufzählung an erster Stelle aufgeführt.
Nach der Definition sind „personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Der Begriff der "personenbezogenen Daten" nach Art. 4 DS-GVO ist damit weit gefasst und umfasst nach der Legaldefinition alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen.
Unter die Vorschrift fallen damit neben Identifikationsmerkmalen und äußeren Merkmalen auch sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen und alle sonstigen Beziehungen der betroffenen Person zu Dritten und ihrer Umwelt (Klar/Kühling in Kühling/Buchner, DS-GVO/BDSG, Art. 4 DS-GVO Rn. 8; Ernst in: Paal/Pauly, DS-GVO/BDSG, Auflage 2021, Art. 4 Rn. 14; OLG Köln, Urteil vom 26. Juli 2019 - I-20 U 75/18 -, Rn. 304, juris).
Die hier offenbarten Informationen, nämlich der Nachname des Klägers und sein der Anrede zu entnehmendes Geschlecht, sowie die aus der Nachricht herauslesbaren Angaben, insbesondere die Tatsache eines laufenden Bewerbungsprozesses bei der Beklagten, stellen persönliche Informationen dar. Auch die Gehaltsvorstellung des Klägers, die sich aus der angegebenen Gehaltsobergrenze der Beklagten rückschließen lässt, stellt eine sachliche Information dar. Dabei kann die Angabe „80k + variable Vergütung" nicht mit Angaben in einer Stellenanzeige gleichgesetzt werden, wie es die Berufung meint. Eine dahingehende Interpretation lässt den Kontext der Nachricht außer Acht. Dort wird ausdrücklich erwähnt, dass die Gehaltsvorstellungen des Klägers nicht erfüllt werden können und im Anschluss äußert die Beklagte ihrerseits eine Gehaltsobergrenze. Aus diesen beiden Angaben lassen sich Rückschlüsse auf die Gehaltsvorstellungen des Klägers ziehen.
Auch die Identifizierbarkeit ist zu bejahen. Dies gilt auch dann, wenn der Nachname häufig vorkommen sollte. Sofern die Beklagte einwendet, das Landgericht habe die Anlage B 3 und die darin aufgeführten weiteren Nutzer der Plattform Xing mit gleichem Nachnamen nicht hinreichend gewürdigt, verhilft dies der Berufung nicht zum Erfolg. Insoweit kann als zutreffend unterstellt werden, dass auf der Plattform Xing mehrere Personen den Nachnamen des Klägers tragen, dies hindert jedoch die Identifizierbarkeit nicht. Es ist insbesondere nicht erforderlich, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden (vgl. EuGH, Urteil vom 20. Dezember 2017 - Rs. C- 434/16, NJW 2018, 767, Nowak). Der Nachname ist ein gängiges Identifikationsmerkmal, es ist nicht erforderlich, dass die Identifikation „zweifelsfrei" ermöglicht wird, eine dahingehende Voraussetzung, die die Beklagte postulieren will, besteht nicht, da eine solche Einschränkung dem Text der Verordnung nicht zu entnehmen ist. Zudem ist es vorliegend dem Dritten unmittelbar gelungen, den Kläger zu identifizieren, da er sich nach Erhalt der Nachricht direkt an diesen gewandt hat. Auf die Frage, ob dem Adressaten der Nachricht die Identifikation des Klägers aufgrund der übermittelten Angaben möglich war, oder ob er, wie es die Berufung meint, auf dessen Antwort angewiesen war, kommt es für die Qualifikation als „personenbezogene Daten" i.S. d. Art. 4 Nr. 1 DS-GVO nicht an (zu Namensangaben: BGH, Urteil vom Oktober 2021 - VI ZR 489/19 -, Rn. 26, juris; zu Name, Geschlecht, Religion und Sprache: EuGH, Urteil vom 17.07.2014 - Rs. C-141/12, Rs. C-372/12, CR 2015, 103, 104).
Die Versendung einer Nachricht, fällt, sofern sie - wie hier - personenbezogene Daten enthält, in den sachlichen Anwendungsbereich der Datenschutz Grundverordnung (Art. 2 Abs. 1 DS-GVO).
Die Beklagte ist verantwortliche Stelle für die Verarbeitung von Daten und damit "Verantwortlicher" im Sinne von Art. 4 Nr. 7 DS-GVO (Ernst in: Paal/Pauly, a.a.O., Art. 4 Rn. 55).
Indem die Beklagte die Daten im Rahmen des Bewerbungsverfahrens erhebt, erfasst, ordnet, speichert und gegenüber Dritten offenlegt, "verarbeitet" sie diese Daten im Sinne von Art. 4 Nr. 2 DS-GVO. Danach ist eine „Verarbeitung" jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Die Übermittlung der Nachricht mit den enthaltenen personenbezogenen Daten des Klägers an einen unbeteiligten Dritten stellt eine Verarbeitung seiner Daten in Form der beispielhaft genannten „Offenlegung durch Übermittlung" dar.
Die Berufung wendet ein, es handele sich vorliegend nicht um eine Verarbeitung, da mit dem versehentlichen „Klick", mit dem die Nachricht an den falschen Empfänger geschickt wurde, eine manuelle Handlung vorgenommen worden sei. Ein solches manuelles Verklicken stelle bereits keinen „Vorgang" im Sinne des Art. 4 Nr. 2 DS-GVO dar. Dies ist abzulehnen, da die Legaldefinition auch Vorgänge ohne Hilfe automatisierter Verfahren benennt und damit das manuelle Handeln ausdrücklich einschließt.
Auch die Versendung an einen zufälligen Adressaten schadet dabei nicht. Insoweit hat der Europäische Gerichtshof mit Urteil vom 25.11.2021 zu Inbox-Werbung klargestellt, dass eine „Verwendung elektronischer Post für die Zwecke der Direktwerbung" im Sinne der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) darstellt, ohne dass die Bestimmung der Empfänger dieser Nachrichten nach dem Zufallsprinzip von Bedeutung ist (EuGH, Urteil vom 25. November 2021 - C-102/20 -, juris). Dies gilt für die hier maßgebliche Nachricht in gleicher Weise.
Die Verarbeitung der personenbezogenen Daten des Klägers durch Versendung an einen in das Bewerbungsverfahren nicht eingebundenen Dritten war unrechtmäßig und insbesondere nicht von einer Einwilligung des Klägers erfasst. Durch den Umstand des Bewerbungsverfahrens hat der Kläger weder in die Verarbeitung seiner personenbezogenen Daten durch Offenlegung gegenüber Dritten gemäß Art. 6 Abs. a) DS-GVO eingewilligt noch sind die in Art. 6 b) bis f) genannten Voraussetzungen, etwa die Notwendigkeit der Weitergabe im Bewerbungsverfahren, diesbezüglich gegeben.
Auch die für eine Begründetheit des Unterlassungsanspruchs erforderliche Wiederholungsgefahr ist gegeben. Im Umfang des vorliegenden Datenschutzverstoßes besteht insofern eine tatsächliche Vermutung (Grüneberg/Herrler, BGB 81. Aufl., § 1004, Rn. 32), welche die Beklagte nicht widerlegt hat. Denn insofern vertritt sie weiterhin die Auffassung, dass es sich nicht um einen Datenschutzverstoß handelte, keine persönlichen Daten offenbart wurden und eine Unterlassungserklärung im Umfang des Klageantrages von ihr nicht geschuldet ist (ebenso: OLG Dresden, Urteil vom 14. Dezember 2021 - 4 U 1278/21 -, Rn. 47, juris).
Soweit der Klageantrag auch Daten erfasst, die nicht Gegenstand der Nachricht vom 23.10.2018 waren, ergibt sich die insofern erforderliche Erstbegehungsgefahr aus dem unstreitigen bzw. bewiesenen Sachverhalt. Denn die Beklagte beruft sich auf ein fahrlässiges „Verklicken" einer Mitarbeiterin im Rahmen der Kommunikation über Xing. Eine bewusste Auswahl hinsichtlich der weitergegebenen Daten erfolgte hierbei nicht, da die Weiterleitung an Herrn A ja unbeabsichtigt geschah und die Mitarbeiterin, Frau D, meinte, die Nachricht an den Kläger zu senden, was datenschutzrechtlich unbedenklich gewesen wäre. Solange die Beklagte nichts unternimmt, Fehler dieser Art künftig zu vermeiden, besteht daher die Gefahr entsprechender Datenschutzverstöße. Soweit hierbei andere von dem Kläger über Xing mitgeteilte Daten betroffen sind, besteht eine erstmals ernsthaft drohende Beeinträchtigung, was für eine Unterlassungsanspruch ausreichend ist (Grüneberg/Herrler, a.a.O.).
Mangels hinreichender Unterlassungserklärung, der es im Regelfall zur Widerlegung der Wiederholungs- bzw. der Erstbegehungsgefahr bedarf (OLG München, Urteil vom 19.1.2021 - 18 U 7243/19, Rn. 63 juris), besteht diese fort. Zwar lässt eine (ordnungsgemäße) Unterlassungsverpflichtungserklärung auch ohne Annahme durch den Gläubiger die Wiederholungsgefahr grundsätzlich entfallen; hierzu muss die Erklärung den Unterlassungsanspruch nach Inhalt und Umfang aber voll abdecken (BGH, Urteil vom 21.6.2005. VI ZR 122/04, Rn. 6, juris m.w.N.). Dies ist jedoch nicht der Fall, denn die strafbewehrte Unterlassungserklärung vom 4.3.2019 (Anlage K 5, Bl. 29 d.A.) beschränkte sich auf den genauen Wortlaut der streitgegenständlichen Nachricht. Vor neuen Verletzungshandlungen schützt sie daher nicht in ausreichender Weise.
Der Kläger muss nämlich insgesamt vor der rechtswidrigen Weitergabe seiner personenbezogenen Daten geschützt werden. Diese Gefahr besteht nicht nur im Hinblick auf die konkrete Nachricht, sondern auch hinsichtlich der Weitergabe seiner Angaben an Dritte in vergleichbarer Weise. Da die Begrenzung der Unterlassungserklärung auf den konkreten Wortlaut der Nachricht zu eng gefasst ist, ist die Berufung hinsichtlich des Unterlassungsanspruchs unbegründet.
Dass der konkrete Verstoß mit gleichem Wortlaut erneut erfolgen könnte, liegt angesichts der Individualität der Nachricht fern. Vergleichbare Verstöße hingegen, die bei nicht ausreichend sorgsamen Umgang mit persönlichen Daten drohen könnten, sind nicht ausgeschlossen. Sofern die Berufung einwendet, eine Wiederholung sei ausgeschlossen, da es sich um ein Augenblicksversagen einer Mitarbeiterin gehandelt habe, ist dies für die Bewertung der Wiederholungsgefahr nach Auffassung des Senats nicht der entscheidende Gesichtspunkt. Es obliegt der Beklagten als Verantwortliche für die von ihr verarbeiteten personenbezogenen Daten, ihre Mitarbeiter im Umgang ausreichend zu schulen (so auch: Golland, DSB 2020, 286-288; Gündel, Grundeigentum 2021, 1109-1111) sowie ggf. durch technische Maßnahmen vorhersehbare Fehlanwendungen zu vermeiden.
Insoweit hat das Landgericht richtigerweise Beweis erhoben durch Vernehmung des Zeugen E zu den seitens der Beklagten im Zusammenhang mit dem Rechtsverstoß ergriffenen Maßnahmen. Es ist dabei zu der Überzeugung gelangt, dass keine Schulungsmaßnahmen oder anderweitige Vorkehrungen von der Beklagten hinsichtlich der betreffenden Mitarbeiterin oder deren Kollegen veranlasst worden sind, die mit der notwendigen Sicherheit etwaige künftige Rechtsverstöße vermeiden und damit die Vermutung widerlegen könnten. Das Landgericht hat festgestellt, dass der Zeuge nicht bestätigen konnte, dass alle relevanten Mitarbeiter hinsichtlich des Umgangs mit personenbezogenen Daten geschult worden seien. Zwischen der streitgegenständlichen Nachricht und der Benachrichtigung des Zeugen lag ein Zeitraum von mehr als sechs Wochen, so dass auch eine unverzügliche Reaktion auf den Datenschutzverstoß seitens der Beklagten nicht festgestellt werden konnte. Zudem hat die Beweisaufnahme ergeben, dass neue Mitarbeiter der Beklagten nicht im Hinblick auf die Problematik geschult werden, sondern lediglich eine Erklärung abgeben müssen, dass sie die Datenschutzbestimmungen einhalten werden.
Der Senat teilt die Einschätzung des Landgerichts, wonach diese Maßnahmen nicht ausreichen, um eine Wiederholungsgefahr auszuschließen. Denkbar wären Schulungsmaßnahmen zwecks Sensibilisierung der Mitarbeiter hinsichtlich konkreter Fehlerquellen oder die Vorgabe anderer Kommunikationswege als die direkt über das Portal Xing zugeleitete Nachricht, die ein hohes Risiko der Falschadressierung birgt. Die Berufung greift die Feststellungen des Landgerichts zum Ergebnis der durchgeführten Beweisaufnahme nicht an.
Die Wiederholungsgefahr entfällt schließlich auch nicht teilweise im Umfang der abgegebenen Erklärung. Zwar sind - im Falle einer sachlich teilbaren Wiederholungsgefahr - Teilunterwerfungserklärungserklärungen möglich (BGH, Urteil vom 21.6.2005, a.a.O). Dies ist vorliegend jedoch nicht in relevanter Weise gegeben. Denn ein nochmaliges Versenden der gleichen Nachricht, was allein Gegenstand der abgegebenen Unterlassungserklärung ist, steht nicht in Rede. Zwar sind Unterlassungserklärungen der Auslegung zugänglich. Eine Auslegung dahingehend, dass die Beklagte sich strafbewehrt zur Unterlassung jeder künftigen Verletzung der in der Nachricht vom 23.10.2018 gegenständlichen Daten (Nachname, Geschlecht, Umstand der Bewerbung, Gehaltsvorstellung) verpflichtet hat, lässt sich dieser aufgrund des ausdrücklich eng beschränkten Wortlauts jedoch nicht entnehmen. Hiergegen spricht zudem die von der Beklagten nach wie vor vertretenen Auffassung, es liege überhaupt kein Datenschutzverstoß vor und sie dürfe die genannten Daten daher weiterverarbeiten.
Die Geltendmachung des Anspruchs innerhalb eines angemessenen Zeitraums nach dem Verstoß ist nicht zu beanstanden. Das Abwarten des Bewerbungsprozesses ist nicht rechtsmissbräuchlich. Der Anspruchsinhaber darf die Durchsetzung seines Rechts zunächst zurückstellen, ohne dass die sich anschließende Geltendmachung als missbräuchlich darstellt. Die Enttäuschung über die Nichtberücksichtigung im Bewerbungsverfahren mag für die Geltendmachung des Unterlassungsanspruchs mitursächlich sein, den Einwand des Rechtsmissbrauchs vermag sie nicht auszulösen.
Im Hinblick auf den zugesprochenen Schadenersatzanspruch hat die Berufung der Beklagten Erfolg, zugleich ist der Anschlussberufung des Klägers der Erfolg zu versagen, da die Zahlungsklage unbegründet ist.
Dem Kläger steht kein Anspruch aus Art. 82 DS-GVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der rechtswidrigen Datenverarbeitung zu.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.
Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen nach Auffassung des Senats nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.
Zwar liegt, wie ausgeführt, ein Verstoß durch Übermittlung von personenbezogenen Daten an einen unbeteiligten Dritten vor. Zudem ist das Landgericht auch richtigerweise zusätzlich von einem Verstoß gegen Art. 34 Abs. 1 DS-GVO ausgegangen und hat ein durch die Verletzung des Schutzes personenbezogener Daten voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten angenommen. Die Information des Klägers über den Datenschutzverstoß erfolgte nicht unverzüglich, sondern erst auf dessen Nachfrage.
Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rechtsprechung und Literatur umstritten (für ein Ausreichen des Eingriffs in das allgemeine Persönlichkeitsrecht: z.B. OLG München, Urteil vom 4.2.2019 - 15 U 3688/18 -, juris, Rn. 19 ff., Ehmann/Selmayr/Nemitz, Datenschutz-Grundverordnung, 2. Aufl., Art. 82 DS-GVO Rn. 11-13; für das Erfordernis eines nachgewiesenen Schadens z.B. LAG Baden-Württemberg, Urt. v. 25.02.2021, 17 Sa 37/20, zit. nach juris, Rn. 96, LG Karlsruhe, Urt. v. 02.08.2019, 8 O 26/19, zit. nach juris, Rn. 19, Ernst, juris PR-ITR 1/2021 Anm. 6 in einer Anmerkung zu dem vorliegend angefochtenen Urteil des Landgerichts Darmstadt v. 26.05.2020, 13 O 244/19, m.w.N.). Insbesondere von den Verfechtern eines Anspruchs ohne Nachweis eines konkreten Schadens wird zudem vertreten, dass die Beeinträchtigung über eine bloße Bagatellverletzung hinausgehen muss (vgl. hierzu die Quellenangaben bei Ernst, a.a.O.).
Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt.
Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („...Schaden entstanden ist") voraussetzt (Eichelberger, WRP 2021, 159-167; Wybitul/Brams, ZD 2020, 644-646). Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies - wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 - durch Pauschalen zu regeln (Eichelberger, aaO. Rn. 24). In dem Erwägungsgrund 146 S. 3 zu der DS-GVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DSGVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte (Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 17; vgl. in diesem Zusammenhang auch: BVerfG 14.1.2021 - 1 BvR 2853/19 - Rn. 20, juris).
Auch hiernach ist der Schaden jedoch nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten" werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (LAG Baden-Württemberg, Urte. v. 25.02.2021, 17 Sa 37/20, zit. nach juris, Rn. 96 unter Bezug auf Frenzel in: Paal/Pauly, a.a.O., Art. 82, Rn. 10 und Klein GRUR-Prax 2020, 433). Der bloße Verstoß gegen Bestimmungen der DS-GVO reicht daher nicht aus.
Hinzu kommt schließlich, dass weder Art. 82 DS-GVO noch dessen Erwägungsgründe einen Hinweis darauf enthalten, dass geringfügige (Bagatellschäden) nicht auszugleichen wären; vielmehr sieht Erwägungsgrund 148 Satz 2 vor, dass lediglich ausnahmsweise bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann (LAG Baden-Württemberg, a.a.O. m.w.N.).
Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist daher auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (so insbesondere auch Ernst, a.a.O.).
Das Vorliegen eines konkreten -immateriellen- Schadens, wozu auch Ängste, Stress sowie Komfort- und Zeiteinbußen zählen (Bergt in: Kühling/Buchner, DS- GVO BDSG, 3. Auflage 2020, Rn. 18 b), hat der Kläger nicht dargetan. Der Vortrag in seinem auf einen entsprechenden Hinweis des Senats eingereichten Schriftsatz vom 11.1.2022 (Bl. 326 ff. d. A.) erschöpft sich in der - erneuten- Darlegung des Datenschutzverstoßes. Insofern führt der Kläger an, dass der Schaden nicht in dem bloßen, abstrakten Kontrollverlust über die offenbarten Daten, sondern in der Tatsache liege, dass nunmehr mindestens eine weitere Person, die den Kläger und potentielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen. Zudem empfinde der Kläger das „Unterliegen" in den Gehaltsverhandlungen als Schmach, die er nicht an Dritte - vor allem nicht an potentiellen Konkurrenten - weitergegeben hätte.
Nähere Ausführungen zu einem Schaden erfolgen klägerseits nicht. Selbst bei Unterstellung einer „Schmach", vermag der Senat diese nicht als einen immateriellen Schaden zu bewerten. Denn der Kläger hat schon nicht mitgeteilt, welche Größenordnung des Gehaltsrahmens angestrebt, ob die angebotene Summe, die durch variable Anteile ohnehin nicht die Obergrenze bildete und im noch laufenden Bewerbungsverfahren vorläufig war, mit einer Diskreditierung verbunden war.
Dem Kläger steht ein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten aus dem Gegenstandswert der berechtigt geltend gemachten Unterlassungsansprüche und damit aus der Gebührenstufe bis 15.000,- € zu. Die Hinzuziehung eines Rechtsanwalts war notwendig, da es sich um schwierige Rechtsfragen handelt, für deren Klärung eine anwaltliche Beratung erforderlich ist. Der Anspruch beläuft sich gemäß §§ 2 Abs. 2, 13 RVG Nr. 2300 VV RVG auf 1.029,35 €. Da die Anschlussberufung den erstinstanzlich zuerkannten Betrag von 1.025,55 € nicht angreift, hat es bei diesem zu verbleiben.
Entgegen der Ansicht der Beklagten ist der Senat nicht gehalten, das vorliegende Verfahren auszusetzen und die Sache dem EuGH zur Vorabentscheidung nach Art. 267 Abs. 2, 1 AEUV über die Auslegung von Art. 15 DS-GVO vorzulegen.
Die hier maßgeblichen Rechtsfragen liegen dem EuGH bereits in anhängigen Verfahren (BAG, EuGH-Vorlage vom 26. August 2021 - 8 AZR 253/20 (A) -, Rn. 33, juris; Vorabentscheidungsersuchen des Obersten Gerichtshofs (Österreich) eingereicht am 12. Mai 2021 - juris) vor. Zudem besteht eine Pflicht zur Vorlage nach Art. 267 Abs. 3 AEUV im vorliegenden Verfahren schon deshalb nicht, weil das vorliegende Urteil hier nicht als Entscheidung eines Gerichts ergeht, dessen Entscheidungen selbst im Sinne von Art. 267 Abs. 3 AEUV nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angefochten werden können. Dem Kläger steht es infolge der diesbezüglich zuzulassenden Revision - dazu unten - frei, die Entscheidung durch den Bundesgerichtshof überprüfen zu lassen (s. OLG Köln, Urteil vom 26. Juli 2019 - I-20 U 75/18 -, Rn. 328, juris).
